Computação Forense

Exercícios Avaliativos – 01

CCA UFES – Departamento de Computação

Prof. Msc. Jacson Rodrigues

Conteúdo abordado: Processo de investigação digital; Procedimentos legais; Assinaturas de arquivos; e

MAC Times.

Olá perito, você possui uma imagem “.img” que é referente a um disco rígido. Para acessá-la, inicie a
máquina virtual, adicionando-a como HD Externo.
Sua tarefa será analisar o perfil do dono desse HD. Porém, você deve seguir todos os procedimentos legais
do processo de investigação digital. Para isso, lembre-se de:
• Fazer a cópia do HD Externo com o dd;
• Obter assinaturas digitais da cópia dos dados e do HD Externo;
• Criar uma cadeia de custódia;
• Histórico da internet (olhar os arquivos temporários de Internet, verificando seus tipos por
assinatura);
• Verificar a data de instalação do Histórico e levantar uma linha de tempo;
• Utilizar o testdisk para verificar conteúdo apagado;
• Obter informações adicionais;
• Seguir e explicar o processo de investigação digital (coleta, exame, análise e resultados obtidos);

Trabalho para casa:

• Criar um programa capaz de ler e mostrar os primeiros bytes de qualquer arquivo do computador
(olhe o início do programa abaixo);
• Adaptar este programa para procurar por um conjunto de bits (assinatura) dentro de um arquivo.
Assim, seu programa será capaz de encontrar arquivos escondidos...

#include <stdlib.h>
#include <stdio.h>

int main(int argc, char *argv[])

{
//quantidade de bytes para ler do arquivo
int qntBytes = 1;
//nome do arquivo
char *nomeArq;

if (argc < 2 || argc > 3)

{
fprintf(stderr, "Utilize: %s arquivo [qntBytes]\n", argv[0]);
exit(1);
}

if (argc == 3) qntBytes = atoi(argv[2]);

nomeArq = argv[1];

printf("Leitura de `%d' bytes do inicio do arquivo `%s'...\n", qntBytes, nomeArq);

/*
* fopen... leitura binaria
* fread...
* fclose...
*/

return 0;
}